*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.091
Nee, den noch kleineren 5-Port: =)
eu.store.ui.com
Der erste Raspi issn 4er, der hat Libreelec drauf, damit Kodi fluppt und hängt mit nem Flachband-HDMI an der Glotze im SchlaZi.
Der zweite ist im Arbeitszimmer ein 3B+ und auf dem läuft nen stino Raspbian Trixie mit Linux Voice Assi für Homeassistant.
github.com
Beide haben son Ali-PoE-Hat, weil der originale eher *meh* war.
Einen 3B+ mit dem original PoE-Hat hab ich noch rum kullern, da ist glaube ich momentan noch ein Rhasspy drauf.
Müsste ich mal auf Linux Voice Assi umkonfigurieren.
Der Dritte ist ein Zero2W mit Zero-PoE-Hat, an dem hängt per USB der Drucker und der Scanner.
Der verteilt die Geräte dann im LAN.
Der Drucker hat zwar auch LAN, das geht aber mit Android nicht (oller Oki Laser)...
//Edith:
So, die Unifi OS Server VM lüppt auch und die Geräte sind umgezogen, den blöden Switch umzuhängen ist echt ne Katastrophe.
Hab die PVID kurzzeitig auf das VLAN vom Unifi OS Server gekloppt, dann gings.
Beim letzten mal hab ich noch Hostifi genutzt:
Switch Flex Mini 2.5G - Ubiquiti Store
Compact, 5-port 2.5G switch that can be powered with PoE or a USB-C adapter.
eu.store.ui.com
Der erste Raspi issn 4er, der hat Libreelec drauf, damit Kodi fluppt und hängt mit nem Flachband-HDMI an der Glotze im SchlaZi.
Der zweite ist im Arbeitszimmer ein 3B+ und auf dem läuft nen stino Raspbian Trixie mit Linux Voice Assi für Homeassistant.
GitHub - imonlinux/linux-voice-assistant: Voice satellite for Home Assistant using the ESPHome protocol with Optional OpenWakeWord
Voice satellite for Home Assistant using the ESPHome protocol with Optional OpenWakeWord - imonlinux/linux-voice-assistant
github.com
Beide haben son Ali-PoE-Hat, weil der originale eher *meh* war.
Einen 3B+ mit dem original PoE-Hat hab ich noch rum kullern, da ist glaube ich momentan noch ein Rhasspy drauf.
Müsste ich mal auf Linux Voice Assi umkonfigurieren.
Der Dritte ist ein Zero2W mit Zero-PoE-Hat, an dem hängt per USB der Drucker und der Scanner.
Der verteilt die Geräte dann im LAN.
Der Drucker hat zwar auch LAN, das geht aber mit Android nicht (oller Oki Laser)...
//Edith:
So, die Unifi OS Server VM lüppt auch und die Geräte sind umgezogen, den blöden Switch umzuhängen ist echt ne Katastrophe.
Hab die PVID kurzzeitig auf das VLAN vom Unifi OS Server gekloppt, dann gings.
Beim letzten mal hab ich noch Hostifi genutzt:
Zuletzt bearbeitet:
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 233
Meine Sense hat schon wieder die IP eines statischen Lease dynamisch einer Zweitverwertung zugeführt ....
@Sannyboy111985 Wie ist denn dein DHCP konfiguriert und pass auf, dass nicht mehrere laufen, weil OPNsense...?
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 233
Ist eine OPNsense.
Die .198 ist im Bereich "DHCP Static Mappings" eingetragen und liegt im dynamischen Bereich.
Es gibt nur den ISC DHCP.
Die .198 ist im Bereich "DHCP Static Mappings" eingetragen und liegt im dynamischen Bereich.
Es gibt nur den ISC DHCP.
Weil es gibt ja noch KEA und Dnsmasq.
Das ist wie gesagt nicht empfohlen bzw. geht auf der pfSense erst gar nicht, also trennen. Wir sind nicht in der Fritzbox. ^^
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.091
Hat jemand Erfahrungen mit nem SFP-GF-Modem in ner X710 in der *sense?
Ich habe gestern meine X710-DA2 aus dem Desktop in die OPNsense gestopft und die CX3 raus geworfen.
Den zweiten Port der X710 würde ich dann ab Mitte des Jahres gerne mit nem GF-Modem bestücken und so die olle Telekomiker-Box einsparen.
Nach 30 min Stress, weil die VLANs weg waren (logisch, auf mlx0 gemappt und nun nur noch ixl0/1 vorhanden =) ) und das Passwort auf der Konsole relativ bescheiden einzutippen war (alle möglichen Sonderzeichen, 48 Byte UND TOTP) lief es wieder überraschend gut.
Merke:
Es ist IMMER gut, wenn man die TOTPs an mehreren Stellen zur Verfügung hat.
Wenn die sense nicht läuft, bringt mir das Browser-Plugin nix, da über FQDNs angesprochen und IP / Port raus suchen länger gedauert hätte, als aufm Handy FreeOTP anzuwerfen.
Oder notfalls in KeepassXC den TOTP anzuklicken...
Ich habe gestern meine X710-DA2 aus dem Desktop in die OPNsense gestopft und die CX3 raus geworfen.
Den zweiten Port der X710 würde ich dann ab Mitte des Jahres gerne mit nem GF-Modem bestücken und so die olle Telekomiker-Box einsparen.
Nach 30 min Stress, weil die VLANs weg waren (logisch, auf mlx0 gemappt und nun nur noch ixl0/1 vorhanden =) ) und das Passwort auf der Konsole relativ bescheiden einzutippen war (alle möglichen Sonderzeichen, 48 Byte UND TOTP) lief es wieder überraschend gut.
Merke:
Es ist IMMER gut, wenn man die TOTPs an mehreren Stellen zur Verfügung hat.
Wenn die sense nicht läuft, bringt mir das Browser-Plugin nix, da über FQDNs angesprochen und IP / Port raus suchen länger gedauert hätte, als aufm Handy FreeOTP anzuwerfen.
Oder notfalls in KeepassXC den TOTP anzuklicken...
toscdesign
Enthusiast
Zweistück gleichzeitig auf der selben Schnittstelle sind doch gar nicht möglich?
Da kommt ne Fehlermeldung von Opnsense bzw. lässt dich der zweite gar nicht erst starten.
Beim neuen DHCP (ISC ist End of Life) per Dnsmasq ist es sogar Vorgabe die Static Adresse in Range zu haben:
Dnsmasq DNS & DHCP — OPNsense documentation
toscdesign
Enthusiast
Zur Info für alle OpnSense User:
Ich hatte es ja schon im Kekser gepostet, unsere Firewalls scannen seit dem Update auf Version 25.7.11 und Nachfolgende die Netzwerke auf Hosts.
Leider wird dabei auch das WAN Interface mit gescannt.
forum.level1techs.com
Bei mir war das auch so.
Ich habe jetzt nicht nur das WAN aus den zu scannenden Interfaces ausgeschlossen, sondern auch die ganze Funktion abgeschaltet.
Da diese bei mir zu einer hohen CPU Last, ergo höheren Stromverbrauch geführt hat.
(Stromverbrauch kompletter Netzwerkschrank)
@Tundor
Für dich zur Info
Ich hatte es ja schon im Kekser gepostet, unsere Firewalls scannen seit dem Update auf Version 25.7.11 und Nachfolgende die Netzwerke auf Hosts.
Leider wird dabei auch das WAN Interface mit gescannt.
OPNsense 25.7.11 might be scanning your ISPs net
I just discovered that the new neighbours feature introduced and automatically activated in 25.7.11: interfaces: add and enable new host discovery feature for neighbours via hostwatch https://docs.opnsense.org/releases/CE_25.7.html#january-15-2026 Has the default setting of all...
forum.level1techs.com
Bei mir war das auch so.
Ich habe jetzt nicht nur das WAN aus den zu scannenden Interfaces ausgeschlossen, sondern auch die ganze Funktion abgeschaltet.
Da diese bei mir zu einer hohen CPU Last, ergo höheren Stromverbrauch geführt hat.
(Stromverbrauch kompletter Netzwerkschrank)
@Tundor
Für dich zur Info
Ich hab's auch abgeschaltet jetzt, vom Stromverbrauch war es aber bei mir nicht merkbar. Mutmaßlich gibt es bei mir im Provider Netz nicht so viel zum scannen 
Keine Ahnung warum man so eine Funktion standardmäßig auf allen Interfaces aktiviert
Keine Ahnung warum man so eine Funktion standardmäßig auf allen Interfaces aktiviert
toscdesign
Enthusiast
Was soll denn das jetzt schon wieder, die nächste Umstellung?
Muss mich erstmal schlau machen, bevor ich da was anfasse 😑
Muss mich erstmal schlau machen, bevor ich da was anfasse 😑
toscdesign
Enthusiast
Was mich halt schon wieder stört, das ich damit quasi wieder extra Arbeit habe.
toscdesign
Enthusiast
Sicher?
Der Wechsel vom ISC DHCP auf dnsmaq oder KEA DHCP war auch zuerst nur optional und nun ist der rausgeflogen.
Den Umzug zum dnsmasq hatte ich zum Glück schon gemacht.
Ich gehe davon aus, dass das alte Regelsystem auch bald rausfliegt.
Der Wechsel vom ISC DHCP auf dnsmaq oder KEA DHCP war auch zuerst nur optional und nun ist der rausgeflogen.
Den Umzug zum dnsmasq hatte ich zum Glück schon gemacht.
Ich gehe davon aus, dass das alte Regelsystem auch bald rausfliegt.
Davon würde ich auch ausgehen, aber noch kann man es ignorieren 😅
toscdesign
Enthusiast
Mit den ganzen Änderungen bin ich inzwischen echt geneigt, das ganze einfach mal neu aufzusetzen.
Nicht das irgend eine Leiche im System zu Problemen führt.
Haber aber weder Zeit noch Lust dazu.
Nicht das irgend eine Leiche im System zu Problemen führt.
Haber aber weder Zeit noch Lust dazu.
Fusseltuch
Enthusiast
Mir geht es ähnlich. Ich habe mit der gesamten 26er-Serie kein Glück. Bisher ist jedes Update irgendwie schief gelaufen, zumindest so, dass ein normaler Neustart nicht ausreichte. Am meisten Probleme machte bisher "Neighbour Discovery", was sehr spät im 25er-Zyklus aktiviert wurde ohne großes vorheriges Testing und was an meinen Deutsche Glasfaser/1&1-Anschluss dafür sorgt, dass nach einem Neustart der Firewall keine PPPoE-Einwahl mehr funktioniert. Es gibt nie wieder eine IP-Adresse, bis ich den ONT vom Strom nehme und neustarte. Sobald Neighbour Discovery deaktiviert ist, funktioniert es wieder tadellos.
26.1 wirkt bisher maximal unfertig und hat allerhöchstens Beta-Status. Das hatte ich bisher mit keiner vorherigen Version. Ich kann nichtmal remote die Firewall neustarten, weil ich befürchten muss, dass die Kiste nicht mehr online geht. Ich werde mich auch nach etwas anderem umsehen. Ich brauche kein fancy GUI, für den Heimgebrauch reicht fire & forget, ein mal einstellen, Firewall, NAT und VLANs konfigurieren und dann war's das eigentlich.
Ich werde mal ein wenig mit einem nativen Debian rumspielen. Erste Tests waren vielversprechend und mit ein bisschen Scripting bekomme ich das sicherlich so hin, dass das für meine Zwecke taugt. Da muss ich wenigstens keine Sorge vor Updates haben...
26.1 wirkt bisher maximal unfertig und hat allerhöchstens Beta-Status. Das hatte ich bisher mit keiner vorherigen Version. Ich kann nichtmal remote die Firewall neustarten, weil ich befürchten muss, dass die Kiste nicht mehr online geht. Ich werde mich auch nach etwas anderem umsehen. Ich brauche kein fancy GUI, für den Heimgebrauch reicht fire & forget, ein mal einstellen, Firewall, NAT und VLANs konfigurieren und dann war's das eigentlich.
Ich werde mal ein wenig mit einem nativen Debian rumspielen. Erste Tests waren vielversprechend und mit ein bisschen Scripting bekomme ich das sicherlich so hin, dass das für meine Zwecke taugt. Da muss ich wenigstens keine Sorge vor Updates haben...
freestaler
Enthusiast
- Mitglied seit
- 06.08.2007
- Beiträge
- 30
Ging mir sehr gleich. Nun einfach ne UCS Fiber. Macht was sie soll.
toscdesign
Enthusiast
Bin auch am Überlegen ne Unifi Gateway Ultra zu holen, für nicht mal 100€ sollte mir das Ding ausreichen.
Muss nur die ganzen VMs dann aufs NAS umziehen aber das hat aktuell nur 16GB RAM, wovon ich 8GB ja schon für Truenas abzwacken muss.
Bräuchte also noch extra RAM 😬
Edit:
Mikrotik ist leider keine Alternative, habe zwar einen hex Offsite in Betrieb, aber die Konfiguration ist schon sehr aufwendig.
Und wenn ich wechsle hätte ich gerne was "einfaches".
Muss nur die ganzen VMs dann aufs NAS umziehen aber das hat aktuell nur 16GB RAM, wovon ich 8GB ja schon für Truenas abzwacken muss.
Bräuchte also noch extra RAM 😬
Edit:
Mikrotik ist leider keine Alternative, habe zwar einen hex Offsite in Betrieb, aber die Konfiguration ist schon sehr aufwendig.
Und wenn ich wechsle hätte ich gerne was "einfaches".
toscdesign
Enthusiast
Das Gateway Max und das Fiber liegen in gleichen Preisbereich um die 230-250€.
Das Max kann 2,5Gbit und das Fiber 5Gibt IDS/IPS Durchsatz.
Was man noch bei den Gateways bedenken muss, man braucht keine extra Unifi Docker oder Unifi VM für die ganze Verwaltung, das läuft alles direkt auf den Gateways.
Da fällt mir gerade auf, das würde bei mir direkt 1,5GB RAM einsparen, dann könnte ich sogar mit den 16GB vom NAS auskommen 👍
Das Max kann 2,5Gbit und das Fiber 5Gibt IDS/IPS Durchsatz.
Was man noch bei den Gateways bedenken muss, man braucht keine extra Unifi Docker oder Unifi VM für die ganze Verwaltung, das läuft alles direkt auf den Gateways.
Da fällt mir gerade auf, das würde bei mir direkt 1,5GB RAM einsparen, dann könnte ich sogar mit den 16GB vom NAS auskommen 👍
War da nicht noch was anderes mit Unify, dass die z.B. kein Dual Stack Lite können? Die Versionen sehen auf jeden Fall brauchbar aus, wenn ich irgendwann mal wieder tausche, schaue ich es mir nochmal an. Momentan passt mein Setup so.Ich nehme an mit Unify hat man halt andere Probleme / Einschränkungen?
toscdesign
Enthusiast
Kann ich nicht zu sagen, ich meide ISPs mit DSlite.
toscdesign
Enthusiast
Hä?
Ist doch ohne Cloud nutzbar und die Telemetrie lässt sich abschalten, zumindest bei den Accesspoints.
Zum Cloud Gateway kann ich nix zu sagen.
Ist doch ohne Cloud nutzbar und die Telemetrie lässt sich abschalten, zumindest bei den Accesspoints.
Zum Cloud Gateway kann ich nix zu sagen.
Zuletzt bearbeitet:
und
klingt halt scheisse
klingt halt scheisse
toscdesign
Enthusiast
Mhm, auch wenn ich es abschalte?
Dann müsste ich das ja alles erstmal in der Firewall blocken. Also bleibt doch wieder nur Opensense oder Mikrotik
Dann müsste ich das ja alles erstmal in der Firewall blocken. Also bleibt doch wieder nur Opensense oder Mikrotik
Der Artikel ist halt echt schlecht. Was sammelt denn nun was? Router, APs, Controller?
toscdesign
Enthusiast
Hab mir das jetzt mal durchgelesen, so wie ich das verstehe muss man schon zustimmen, sonst wird nix analysiert.
Ähnliche Themen
- Artikel
[User-Review]
Synology ActiveProtect Appliance DP320 im Lesertest
